Veri İşleme Politikası

 

SAMET KALIP VE MADENİ EŞYA

SANAYİ VE TİCARET A.Ş.

 

KİŞİSEL VERİLERİN

İŞLENMESİ VE KORUNMASI HAKKINDA

GENEL POLİTİKAMIZ

 

  1. AMAÇ VE KAPSAM

Samet Kalıp ve Madeni Eşya Sanayi ve Ticaret Anonim Şirketi (“Samet” veya “Şirket”), kişisel verilerin 6698 sayılı Kişisel Verilerin Korunması Kanunu (“Kanun”) ve ilgili mevzuata uygun olarak işlenmesi ve korunmasına dair genel ilke ve esaslarını Kişisel Verilerin İşlenmesi ve Korunması Genel Politikası (“Politika”) ile bilgilerinize arz etmektedir.

 

Politika ile Şirketimiz tarafından kişisel verilerin toplanması, saklanması ve aktarılması dahil tüm kişisel veri işleme süreçlerinde benimsediğimiz genel ilkeler hakkında, başta Şirketimizin ortak, yönetici, çalışan, çalışan adayı, kanal ortağı, müşteri, müşteri adayı, tedarikçi, tedarikçi adayı ve ziyaretçileri gibi kişisel verilerini işlediğimiz ilgili kişileri bilgilendirmeyi amaçladık.  

 

Şirket olarak, kişisel verilerin işlenmesi alanında özellikle Şirket içinde farkındalığı yükseltmeye ve kişisel verilerin işlenmesinin her aşamasında gerekli teknik ve idari tedbirleri almaya azami özeni gösteriyoruz.

  1. TANIMLAR

Açık Rıza

Belirli bir konuya ilişkin, bilgilendirilmeye dayanan ve özgür iradeyle açıklanan rıza.

İmha

Kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesinin üst kavramı.

Kanun

6698 sayılı Kişisel Verilerin Korunması Kanunu.

Kayıt Ortamı

Tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla işlenen kişisel verilerin bulunduğu her türlü ortam.

Kişisel Veri

Kimliği belirli veya belirlenebilir gerçek kişiye ilişkin her türlü bilgi.

Kişisel Veri Envanteri

Şirketimiz bünyesinde işlenen Kişisel Verilerin neler olduğunu süreç bazlı olarak gösteren envanter.

Kişisel Verilerin İşlenmesi

Kişisel verilerin tamamen veya kısmen otomatik olan ya da herhangi bir veri kayıt sisteminin parçası olmak kaydıyla otomatik olmayan yollarla elde edilmesi, kaydedilmesi, depolanması, muhafaza edilmesi, değiştirilmesi, yeniden düzenlenmesi, açıklanması, aktarılması, devralınması, elde edilebilir hâle getirilmesi, sınıflandırılması ya da kullanılmasının engellenmesi.

Kişisel Verilerin Anonim Hale Getirilmesi

Kişisel verilerin, başka verilerle eşleştirilerek dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek hâle getirilmesi.

Kişisel Verilerin Silinmesi

Kişisel verilerin ilgili kullanıcılar için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesi.

Kişisel Verilerin Yok Edilmesi

Kişisel verilerin hiç kimse tarafından hiçbir şekilde erişilemez, geri getirilemez ve tekrar kullanılamaz hale getirilmesi işlemi.

Kurul

Kişisel Verileri Koruma Kurulu.

Kurum

Kişisel Verileri Koruma Kurumu.

Mevzuat

6698 sayılı Kişisel Verilerin Korunması Kanunu, ikincil mevzuatı ve Kişisel Verileri Koruma Kurumu tarafından ilan edilen ilke kararları ve ilgili tüm mer’i mevzuat.

Özel Nitelikli Kişisel Veri

Kişilerin ırkı, etnik kökeni, siyasi düşüncesi, felsefi inancı, dini, mezhebi veya diğer inançları, kılık ve kıyafeti, dernek, vakıf ya da sendika üyeliği, sağlığı, cinsel hayatı, ceza mahkûmiyeti ve güvenlik tedbirleriyle ilgili verileri ile biyometrik ve genetik verileri.

Periyodik İmha

 

Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması durumunda tekrar eden aralıklarla gerçekleştirilecek imha işlemi.

Şirket

İşbu Politika kapsamında Samet Kalıp ve Madeni Eşya Sanayi ve Ticaret Anonim Şirketi’dir.

Veri İşleyen

Veri sorumlusu tarafından verilen yetkiye dayanarak ve onun adına veri işleyen kişidir.

Veri Kayıt Sistemi

Kişisel Verilerin Şirketimiz bünyesinde yapılandırılarak işlenmesi için kullandığımız kayıt sistem(ler)i.

Veri Konusu Kişi Grubu / İlgili Kişi

Şirketimiz ve/veya Şirketimizin bağlı şirketleri ve iştiraklerinin ortakları, yöneticileri, çalışanları, çalışan adayları, kanal ortakları, bayi ve müşterileri, iş ortakları, hissedarları, yetkilileri, potansiyel müşterileri, ziyaretçileri, tedarikçileri, işbirliği içinde çalıştığı kurumların çalışanları ve burada sayılanlarla sınırlı olmamak üzere diğer kişiler gibi kişisel verisi işlenen gerçek kişilerdir.

Veri Sorumlusu

Kişisel verilerin işleme amaçlarını ve vasıtalarını belirleyen, veri kayıt sisteminin kurulmasından ve yönetilmesinden sorumlu olan gerçek veya tüzel kişidir.

İşbu Politikada Veri Sorumlusu Samet Kalıp ve Madeni Eşya Sanayi ve Ticaret Anonim Şirketi’dir.

  1. KİŞİSEL VERİSİ İŞLENEN İLGİLİ KİŞİLER (VERİ KONUSU KİŞİ GRUPLARI) VE KİŞİSEL VERİLERİ TOPLAMA YÖNTEMLERİMİZ

Aşağıdaki tablo, Şirketimizin Kişisel Veri işleme faaliyetlerinde sıklıkla karşılaştığı veri konusu kişi grupları ile söz konusu kişilerin kişisel verilerini hangi şekillerde topladığımızı genel bir çerçevede açıklamaktadır.
 

VERİ KONUSU KİŞİ GRUBU

KİŞİSEL VERİLERİN NEREDEN VE NE ŞEKİLDE TOPLANDIĞI

 

Kanal Ortağı, Bayi ve Müşteriler ile Müşteri Adayları

  • Şirketimiz sözlü, yazılı ya da elektronik olarak, kurumsal müşterilerimizin iş ortamlarından, mastersclub.samet.com.tr veya partners.samet.com.tr adresinden yapılan alışverişlerde yahut ilgili programlara üye olurken, fuarlar esnasında ve/veya sair sabit/gezici ürün tanıtım etkinliklerinde, kanal ortağımız ve bayilerimiz aracılığı ile veya doğrudan İlgili Kişilerce Şirketimize yazılı, sözlü veya elektronik olarak aktarılan kaynaklardan Kişisel Veri toplayabilmektedir.

 

  • Kanal ortağı, bayi ve müşterilerin fatura bilgileri ve finansal verileri ile satış ve üretim verilerinin kaydı da alışveriş yapılan kanala göre yazılı veya elektronik olarak doğrudan veya dolaylı olarak toplanabilmektedir.

 

  • Fuarlar, müşteri ziyaretleri ve organizasyonlar sırasında toplanan kartvizit bilgileri ile müşteri şikayetleri ve talepleri sırasında Kişisel Veriler toplanabilmektedir.

 

  • Müşteri sadakat programına üyeliğin gerçekleştirilmesi ve puan kazanımı amacıyla Şirketimiz ve program ortağımız olan 3. kişiler tarafından da müşterilerimizin Kişisel Verileri muhafaza edilmektedir.

 

Web Sitesi Ziyaretçileri, Program Üyeleri

ve www.partners.samet.com.tr web siteleri üzerinden yapılan üyelik işlemlerinde ve alışverişlerde veya www.samet.com.tr adresindeki iletişim formu aracılığıyla Şirketimize çevrimiçi olarak aktarılan kaynaklardan Kişisel Veri toplanabilmektedir.

 

 

  • Ziyaretçilerin web sitelerine erişimlerini kolaylaştırmak ve çevrimiçi deneyimlerini kişiselleştirmek için bir ya da daha fazla çerez (tanımlama bilgileri) gönderilebilmektedir. Çerezler, web sitesi ziyaretçilerinin isim, cinsiyet veya adres gibi kişisel verilerini kaydetmemektedir. Web sitemizi ziyaret eden İlgili Kişilerin, kullanmakta oldukları tarayıcının imkân tanıması halinde, tarayıcı ayarlarını değiştirerek çerezlerin kullanılmasını engelleme, çerezler kullanılmadan önce uyarı almayı tercih etme veya sadece bazı çerezleri devre dışı bırakma ya da silme imkanları bulunmaktadır. Ziyaretçilerimizin tarayıcı ayarlarından çerezleri devre dışı bırakmamış olmaları ve web sitemizi kullanmaya devam etmeleri halinde, çerez kullanımına izin verildiği kabul edilmektedir.

 

Çalışan ve Çalışan Adayları, Stajyerler, Alt İşveren Çalışanları ve Geçici Çalışanlar

  • Sözlü, yazılı veya elektronik olarak, iş başvurularında, iş ilişkisinin kurulması esnasında ve devamında çalışanların sıklıkla işe alım ve özlük işlemleri ile bağlantılı olarak doğrudan veya dolaylı çalışanın, çalışan adayının, stajyer çalışanın kendisinden özel nitelikli olanlar dahil Kişisel Verileri toplanmaktadır.

 

  • Çalışanların iş yerinde kullandığı bilgisayarların ve programların kullanıcı bilgileri ile bilgisayarların IP ve log kayıtları bilişim teknolojileri ile bağlantılı olarak muhafaza edilmektedir.

 

  • Alt işveren ve geçici çalışanlar ile hizmetlerini işyerlerimizde bulunmak suretiyle sunan tedarikçi çalışanlarına ait yasal gereklilikler ve sınırlar doğrultusunda dönem dönem genel nitelikli ve bazı hallerde özel nitelikli kişisel veriler kendilerinden veya çalıştıkları firmalardan sözlü, yazılı veya elektronik olarak toplanmaktadır.  

 

Gerçek kişi tedarikçi, kanal ortağı, müşteri ve bayilerimiz ile tüzel kişi tedarikçi, kanal ortağı, müşteri ve bayilerimizin ortak, yönetici ve ilgili alışanları

  • Şirketimiz tedarikçi, kanal ortağı, müşteri ve bayilerle yapılan görüşmelerde ve yürütülen ticari faaliyet esnasında doğrudan İlgili Kişilerce Şirketimize yazılı, sözlü veya elektronik olarak aktarılan kaynaklardan kişisel veri toplayabilmektedir.

 

  • Bahsi geçen kişilerle kurulan ticari/sözleşme ilişkisi kapsamında sözleşme ve ekleri vasıtasıyla toplanabilmektedir.

 

Ziyaretçiler

  • Ziyaretçilerin Şirket merkezimizi ve/veya fabrikalarımızı ziyaretlerinde kendilerinden temin etmek ve CCTV kayıt yöntemi ile kimlik ve fiziksel mekân güvenliği verileri toplanmaktadır.

 

  • Ziyaretçilerimiz Şirket internet erişim ağlarına bağlanmak istediklerinde, 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamında, internete erişim izni verilmesi için yasal olarak saklanması talep edilen Kişisel Verileri toplanmakta, IP kayıtları saklanmaktadır.

 

  • Şirket olarak katıldığımız fuar ve çeşitli etkinliklerde standımızı ziyaret eden, etkinliğimize katılan kişilerin kartvizit bırakmak veya iletişim formu doldurmak suretiyle Şirketimize aktardığı Kişisel Veriler de bulunmaktadır. Bazen ve İlgili Kişinin kabulüne bağlı olarak görsel ve işitsel kayıt da alabilmekteyiz.

 

 

  1. İŞLEDİĞİMİZ VERİ KATEGORİLERİ

Yukarıda yer verilen kişi gruplarına ait işlediğimiz veri kategorileri ise şöyledir. Şirketimiz bünyesinde kişisel verisi en yoğun olarak işlenen kişi grubu çalışanlarımızdır.

 

  • Kimlik verileri,
  • İletişim verileri,
  • İşlem güvenliği verileri,
  • Özlük verileri,
  • Aile bireyleri ve yakınlarına ait veriler,
  • Mesleki deneyim ve eğitim verileri,
  • Müşteri ve Tedarikçilere ait işlem verileri,
  • Talep, yorum ve öneriler,
  • Finans veriler,
  • Pazarlama verileri,
  • Hukuki İşlem verileri,
  • Risk yönetimi verisi,
  • Fiziksel mekân güvenliğine dair veriler,
  • Görsel ve işitsel kayıtlar,
  • Sağlık verileri,
  • Ceza mahkumiyeti verileri,
  • Biyometrik veri,
  • Özgeçmişlerde yer alması ve çalışan / çalışan adayı tarafından paylaşılması halinde dernek üyelikleri.

 

  1. KİŞİSEL VERİLER İŞLENİRKEN DİKKATE ALDIĞIMIZ GENEL İLKELER  

Şirketimiz, verinin toplandığı, işlendiği, saklandığı ve aktarıldığı ortamlarda yeterli gizlilik ve güvenlik tedbirleri alındığından emin olarak Kişisel Veri işlemektedir.

Bu çerçevede, Bilgi Sistemleri Kaynakları Kullanım Politikası (PO.BGYS.008) Şirketimiz tarafından hazırlanmış ve Şirket içinde ve dışında bulunan tüm ilgililerin bilgisine sunulmuştur.

Kişisel Verilerin korunması ve işlenmesiyle ilgili olarak, Mevzuatta düzenlenen genel ilkeler ışığında yer verilen şartlar Şirketimizce karşılanmakta ve herhalde öncelikle Kanun’un 4. Maddesinde yazılı olan genel ilkelere uygun hareket edilmektedir. Bu doğrultuda, Kişisel Verileri sadece;

  1. Hukuka ve dürüstlük kuralına uygun olarak,
  2. Doğru ve gerektiğinde güncelliğini sağlamak için gereken gayret içinde,
  3. Belirli, açık ve meşru amaçları oldukça ve 
  4. Bu amaçlarla bağlantılı, sınırlı ve ölçülü şekilde işlemekteyiz.

Kişisel Verileri, yukarıdaki genel ilkeler ve hemen aşağıda sayılı olan işleme amaçlarına göre tespit ettiğimiz saklama süreleri boyunca işleriz. Buna göre genellikle ilgili mevzuatta öngörülen veya işlendikleri amaç için gerekli olan süre kadar muhafaza ederiz. Kişisel Verileri saklama sürelerimiz ve imha yöntemlerimiz Saklama ve İmha Politikamızda düzenlenmiştir.

 

  1. KİŞİSEL VERİLERİ İŞLEME ŞARTLARIMIZ VE İŞLEME AMAÇLARIMIZ
     

Şirketimiz, Kişisel Verileri, yukarıda bahsi geçen genel ilkelerle uyumlu şekilde Kanun’un 5. Maddesi ve Özel Nitelikli Kişisel Verileri için de 6. Maddesinde yer alan işleme şartlarına (hukuka uygunluk sebepleri) istinaden işlemektedir.

Buna göre Şirketimiz Kişisel Verileri Kanun’un 5. Maddesine istinaden; 

  1. Kanunlarda açıkça öngörülmesi,
  2. Fiili imkânsızlık sebebiyle İlgili Kişinin açık rızasının alınamaması,
  3. Sözleşmenin kurulması veya ifasıyla doğrudan ilgi olması kaydıyla, sözleşmenin taraflarına ait kişisel verilerin işlenmesinin gerekli olması,
  4. Veri Sorumlusunun hukuki yükümlülüklerini yerine getirebilmesi için zorunlu olması,
  5. İlgili kişinin kendisi tarafından alenileştirilmiş olması,
  6. Bir hakkın tesisi veya korunması için veri işlemenin zorunlu olması,
  7. İlgili Kişinin temel hal ve özgürlüklerine zarar vermemek kaydıyla, Veri Sorumlusunun meşru menfaati için veri işlemenin zorunlu olması işleme şartlarından bir veya birkaçına dayanarak ve
  8. Gereken hallerde İlgili Kişinin Açık Rızasının temin edilmesi suretiyle toplamakta ve işlemektedir.

Şirketimiz, Özel Nitelikli Kişisel Verileri ise Kanun’un 6. Maddesinde belirtilen işleme şartlarından birinin mevcut olması halinde işler. Buna göre;

  1. İlgili Kişinin Açık Rızasının mevcut olması,
  2. Sağlık ve cinsel hayat dışındaki Özel Nitelikli Kişisel Verilerin işlenmesinin kanunlarda öngörülmesi,
  3. Sağlık ve cinsel hayata ilişkin kişisel veriler için ancak kamu sağlığının korunması, koruyucu hekimlik, tıbbî teşhis, tedavi ve bakım hizmetlerinin yürütülmesi, sağlık hizmetleri ile finansmanının planlanması ve yönetimi amacıyla, sır saklama yükümlülüğü altında bulunan kişiler veya yetkili kurum ve kuruluşlar tarafından işlenmesi.

 

Şirketimiz, Kişisel Veri İşleme Envanterinde yer alan süreçler bazında Kişisel Verileri genellikle aşağıdaki amaçlarla işlemektedir:

 

  • Taraf olduğumuz sözleşmeler ve yürürlükteki mevzuat gereği üstlendiğimiz tüm edim ve taahhütleri yerine getirilebilmek, sahip olduğumuz hakları talep edebilmek, kanuni ve idari yükümlülüklerimizi ifa edebilmek; 
  • Genel anlamda Şirketimizin tüm amaç ve iş faaliyetlerini yürütebilmek; 
  • Ticari faaliyetlerimizi geliştirebilmek, ürünlerimizin kalitesini ve çeşitliliğini artırabilmek;
  • Ürünlerimizle ilgili şikâyet, iade, değişim ve sair talepleri karşılayabilmek, bu bağlamda gerekli iletişimi kurabilmek ve müşteri hizmetlerimizi etkin biçimde yönetebilmek; 
  • Sadakat kart ve web-sitesi üyeliklerini (Samet Master’s Club, Samet Partners Club, Samet Kazandırıyor) tesis ve buna bağlı üyelik işlemlerini takip edebilmek;
  • Üretim, Yatırım, Ar-Ge, Satış, Pazarlama, Tanıtım, Müşteri Hizmetleri, İletişim Finans, Bilgi İşlem, İnsan Kaynakları, İdari faaliyetleri planlayabilmek ve yürütebilmek;
  • Kurumsal satış, stratejik pazarlama, kurumsal iletişim, bilgi teknolojileri, muhasebe süreçlerini etkin bir şekilde planlanmak ve uygulamak;
  • Müşteri ilişkilerini kurmak, yönetmek, ürün teslimi ve tahsilat dahil ilgili tüm süreçleri yürütebilmek;
  • Her türlü mal ve hizmet tedariki ilişkilerini kurmak, yönetmek, ödeme ve değerlenme dahil ilgili tüm süreçleri yürütebilmek;
  • Her türlü etkinlik, organizasyon ve seyahatleri planlayabilmek;
  • Her türlü muhasebe işlemlerini yürütmek, elektronik veya fiziki ortamda tüm mali kayıt ve belgeleri düzenlemek, tutmak;
  • Yasal defterleri tutmak, fatura, e-fatura, makbuz vb. düzenlenmek;
  • Cari hesap, borç-alacak kayıtlarını tutmak;
  • Gümrük ve mali mevzuattan kaynaklı bilcümle taahhüt ve yükümlülüklerimizi yerine getirebilmek;
  • Alacak ve borç bakiyelerine takip etmek, ödeme yapmak, ödeme kabul etmek, teminat vermek ve kabul etmek;
  • Şirketimizin bütçe, planlama, denetim, hukuk ve mali raporlama işlemlerini icra ve takip etmek;
  • Kalite güvence ve kalite kontrol süreçlerini planlamak, ilgili denetimleri yapabilmek;
  • Seçme ve yerleştirme süreçlerini planlamak ve yönetmek;
  • İşe alım, performans yönetimi, yan hak ve sosyal menfaatlerin tesisi, terfi, ödüllendirme, disiplin gibi insan kaynakları süreçlerini planlanmak ve uygulamak;
  • Başta İş Kanunu, Sosyal Sigortalar ve Genel Sağlık Sigortası Kanunu, İş Sağlığı ve Güvenliği Kanunu, Alt İşverenlik Yönetmeliği olmak üzere, yürürlükteki tüm iş ve sosyal güvenlik mevzuatından kaynaklanan yasal ve idari yükümlülüklerimizi yerine getirebilmek;
  • İş sözleşmelerini kurmak, tüm taahhüt ve yükümlülüklerimizi yerine getirebilmek, haklarımızı talep edebilmek;
  • Çalışanlarımızın bordro ve özlük işlemlerini takip etmek, bu kapsamda aylık bordroları düzenlemek, yasal bildirgeleri sunmak, ücret ve yan hakları ödemek ve/veya tahsis etmek, sosyal yardımları sağlamak;
  • Çalışanların çalışma süreleri, vardiya düzenleri, izin dönemlerini planlanmak;
  • İş sağlığı ve güvenliği kural ve esasları kapsamında zorunlu olan takip ve kayıtları tutmak, işe giriş muayenelerini yapmak, iş sağlığı ve güvenliği kapsamında ilgili tüm süreçleri planlamak, yürütmek;
  • İç iletişimi yürütmek, kurumsal bağlılık, çalışan bağlılığı ve memnuniyetini artırmak amacıyla gerek görülen faaliyetleri planlanmak;
  • Sosyal sorumluluk faaliyetlerini yürütmek;
  • Tüm İşyerlerimizin, fabrikalarımızın, iş ortamlarımızın, fiziki ve elektronik her türlü Veri Kayıt Sistem ve Ortamımızın ve web-sitelerimizin Mevuzata göre işletilebilmelerini ve güvenliğini sağlayabilmek;
  • Ziyaretçilerimizin kayıtlarını oluşturmak, güvenlik gerekliliklerini sağlamak;
  • Şirketimizin denetim, hukuk ve mali raporlama işlemlerini icra ve takip etmek;
  • Dönem dönem kampanya ve anket gibi faaliyetler düzenlemek;
  • Şirketimizin taraf olduğu her türlü hukuki ilişkinin ve sözleşmenin sona ermesine dair bilcümle süreçleri yürütmek;
  • Şirketimizin taraf olduğu hukuki işlemlerin, Şirketimize tebliğ edilen tebligat ve taleplerin gerekliliklerini yerine getirebilmek;  
  • Bilgi sistemleri ve veri güvenliği süreçlerini yürütmek, bu bağlamdaki yasal yükümlülükleri yerine getirebilmek, sistem ve sunucularımızın güvenliğini sağlayabilmek;
  • Acil durum ve risk yönetimi süreçlerini planlamak;
  • Mevzuattan doğan tüm yükümlülüklerimizi yerine getirmek;
  • Kamu sağlığı, güvenliği ve düzenine ilişkin hususlarda kamu makamlarına bilgi vermek;
  • İlgili resmi ve idari kurumlardan ya da yargı mercilerinden gelen bilcümle talepleri yanıtlamak, savunma hakkımızı kullanmak. 
  1. KİŞİSEL VERİLERİN GÜVENLİĞİ

Samet bünyesinde “gizli”, “hizmete özel” ve “genel kullanıma açık” olmak üzere üç tip bilgi sınıflandırması yapılmıştır.
Kişisel veriler de bu çerçevede bilgi varlıklarımız kapsamında aynı hassasiyetle korunmakta ve “gizli” bilgi sınıfı içinde sınıflandırılmaktadır. Dolayısıyla Şirketimiz, işlediği kişisel verilerin hukuka ve dürüstlük kurallarına aykırı olarak işlenmesini ve kişisel verilere yetkisiz ve haksız erişilmesini önlemek ve kişisel verilerin yeterli güvenlik seviyesinde muhafaza edilmesini, işlenmesini ve aktarılmasını temin etmek amacıyla gerekli her türlü teknik ve idari tedbirleri almıştır. Kanun, bağlı mevzuatı, Kurum’un Veri Güvenliği Rehberi başta olmak üzere ilgili rehber ve kılavuzları ile Kurul Kararları düzenli olarak takip edilmektedir.

Şirketimiz, sahip olduğu ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası kapsamında da ilave idari ve teknik tedbirleri almıştır. Şirket içinde uygulanmakta olan politika ve prosedürlerimiz mevcuttur.

Şirketimizin bir Veri Sorumlusu olarak, Kişisel Verilerin hukuka uygun ve korunaklı bir şekilde işlenmesini ve saklanmasını sağlamak amacıyla aldığı teknik ve idari tedbirlerden bazıları da aşağıdaki gibidir:

 

    1.  Teknik Tedbirler

Şirketimiz, öncelikle teknik olarak sahip olduğu tüm imkânlarla veri güvenliğini sağlamaya çalışmaktadır. Bu çerçevede, Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikası uyarınca:

  • Samet’in bilgi varlıklarının gizliliğini, bütünlüğünü ve erişilebilirliğini sağlayacak şekilde ISO 27001:2013 standardı kapsamında bir Bilgi Güvenliği Yönetim Sistemi (BGYS)’nin uygulanması ve düzenli takibi ile sürekliliğinin sağlanması,
  • Samet personelinin ve üçüncü tarafların Samet tarafından tahsis edilen bilgi sistemleri kaynaklarını kullanırken yerine getirmesi gereken temel sorumlulukların belirlenmesi,
  • Bu temel sorumlulukların ihlali durumunda izlenecek disiplin süreçlerinin belirlenmesi,
  • Samet’in log (iz kaydı) yönetimi uygulama ve gereksinimlerinin log üretimi,  depolama, iletim, erişim, saklama ve imha etme kurallarının belirlenmesi,
  • Samet’in ilgili süreçler/birimlerde bulunan bilgi varlıklarının belirlenmesi, varlıkların sahiplerinin belirlenmesi, belirlenen bilgilerin sınıflandırılması ve bu sınıflara bağlı kullanım kurallarının tayin edilmesi,
  • Taşınabilir cihazların teslimat şartlarının oluşturulması ve teslim edilmesi hakkındaki tanımların ve kuralların tayini Şirket içi yönergelerle tespit edilmiş, tüm ilgililerle yazılı ve şifahi olarak paylaşılmıştır.

Veri güvenliğinde, topladığımız Kişisel Verilere sadece yetkili birim ve kişilerce erişilmesine ve onlar tarafından işlenmesine izin veriyor, Şirket içi ve/veya Şirket kontrolündeki erişimlerde erişim yapılan bilgisayarın log kayıtlarını saklıyoruz. 

Elektronik ortamdaki veri aktarımı için güvenli ortamları tercih ediyor; bu ortamların kullanılması mümkün değilse, dosya aktarımı esnasında şifreli gönderim yapıyor ve şifreyi sair bir kanaldan (telefon, mesaj vs.) iletiyoruz.


Log kayıtlarını saklıyoruz. Log yönetim sistemlerinde, hiçbir personele yazma ve değişiklik amaçlı erişim izni vermiyoruz.


Kişisel Verilerin güvenliğini tesis ve temin için Bilgi Teknolojileri Birimimiz de azami özen ile çalışmaktadır. Anti-virüs programı, güvenlik duvarı ve log analiz programı kullanıyoruz. Öte yandan ileti gönderimlerinin güvenliğini periyodik olarak denetliyor, saldırı tespit ve önleme yazılımları ve yedekleme sistemlerini de sistematik bir biçimde kullanıyoruz. Veriye erişim yetkisi olanların dışında hiç kimse ile şifre ve kullanıcı adlarını paylaşmıyoruz. 


Otomatik olmayan yöntemlerle işlediğimiz ve kayıt altında tuttuğumuz verileri kilitli dolap ve kapalı zarflar içinde muhafaza ediyoruz. Bu dolap ve saklama yerlerinin kilitleri yine sadece ilgili birim ve yetkilendirilmiş personellerimizde mevcuttur. Kurumsal müşterilerimizin satış ofislerinden toplanan kişisel verilerimiz saha çalışanlarımızın denetiminde muhafaza edilerek, Şirketimize iletilmektedir.

 

    1. İdari Tedbirler

Şirketimizde işlenen Kişisel Veriler ilgili süreçler, veri işleyen birimler, işleme amaçları, veri kategorileri ve İlgili Kişiler temelinde analiz edilmiş ve bu kapsamda bir “Kişisel Veri İşleme Envanteri” oluşturulmuştur. Kişisel veri işlerken dayandığımız hukuka uygunluk sebeplerimiz de Kişisel Veri İşleme Envanterinde gösterilmiştir.

Kişisel Verileri her zaman Kanun’un 4. Maddesindeki genel ilkelere gözeterek, toplandıkları amaç ile sınırlı ve bağlantılı olarak, hukuken işlenebilir haller etrafında işler ve gerekli olan süreler kadar muhafaza ederiz. Bu bağlamda, Şirketimizin “Kişisel Veri Saklama ve İmha Politikası” da mevcuttur. Bu süreler öncelikle Mevzuatta öngörülen zamanaşımı ve hak düşürücü süreler ile savunma hakkımızı kullanmak için gerekebilecek süreler dikkate alınarak, bunula birlikte aramızdaki ticari / hukuki ilişkiye göre veya Kişisel Verinin saklanma amacına göre makul ve meşru menfaat dahilinde kabul edilebilecek sürelere göre ve gereken hallerde İlgili Kişiden alınacak Açık Rıza ile belirlenmektedir.  

Çalışanlarımız, kişisel verilerin korunması konusunda bilgilendirilmekte ve eğitilmektedir. Şirketimiz ile çalışanlar arasında akdedilen sözleşmelere Kişisel Verileri koruma, güvenliğini sağlama ve Şirketin açık talimatları ve kanunlarla getirilen istisnalar dışında ifşa etmeme ve kullanmama yükümlülüklerine dair taahhütler eklenmiştir.

Kağıt ortamındaki veriler, Samet içinde İşletme Yönetimi Elemanı tarafından evrak kayıt defterine kayıt yapılmak ve imza alınmak suretiyle gizliliği korunarak aktarılmaktadır. Kişisel verilerin, yazılı, görsel, işitsel ortamlarda iletilmesi söz konusu olduğunda, verinin kullanıldığı ortamın ve altyapının, Samet bilgi güvenliği politikalarına ve prosedürlerine uygunluğu sağlanmakta; veriyi kullanan tüm tarafların ve çalışmalara katılan üçüncü tarafların (tedarikçi, kanal ortağı, müşteri ve bayilerin çalışanları gibi) bu kurallar hakkında bilgilendirilmesi gerçekleştirilmektedir.

Kişisel Veri içeren dosya ve klasörler, ilgili birim dolaplarında, arşivlerinde yetkisiz kişilerce erişilemeyecek şekilde saklanmakta, söz konusu dolap ve arşiv odaları kilitli olarak tutulmaktadır. Kişisel Verilerin muhafaza edildiği dolap ve odaların anahtarları/şifreleri yalnızca ilgili verilere erişim yetkisi olan sorumlularda bulunmakta ve söz konusu ortamlara yetkisiz erişim önlenmektedir.

Şirketimizin taraf olduğu sözleşmelere Kişisel Verilerin aktarıldığı kişilerin, Kişisel Verilerin korunması amacıyla gerekli güvenlik tedbirlerini alacağına ve kendi kuruluşlarında bu tedbirlere uyulmasını sağlanacağına ilişkin hükümler konulmaktadır. Şirketimizin tedarikçileri ile imzaladığı gizlilik ve kişisel verilerin korunması taahhüdü mevcuttur.

Şirketimiz aydınlatma yükümlülüğünü yerine getirmekte ve İlgili Kişiler ve işleme amaçlarına göre hazırlanmış aydınlatma bildirimleri kullanmaktadır. Şayet işleme şartı Açık Rıza ise,  İlgili Kişiden aydınlatmaya dayalı olarak Açık Rıza alınmaktadır.

Şirketimiz, Kanun ve ilgili mevzuat hükümleri ile kişisel verilerin güvenliğine ilişkin yürürlüğe koyduğu politikaların uygulanmasını sağlamak amacıyla gerekli denetimler yapmaktadır/yapacaktır. Veri İhlali Müdahale Planımız hazırdır.

Yukarıda “Teknik Tedbirler” başlığında açıkladığımız üzere Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Anılan Bilgi Güvenliği Sistemi ile teknik kurallara ilaveten, idari kurallar ve süreçler de yönergelerle tespit ve tayin edilmiştir.

  1. ÖZEL NİTELİKLİ KİŞİSEL VERİLER VE ALINAN İDARİ VE TEKNİK TEDBİRLER

Müşteri, tüketici, bayi ve tedarikçilerimize ait işlediğimiz Özel Nitelikli Kişisel Veri yoktur. Çalışanlarımızın özel nitelikli kişisel veri kategorisinde kalan verilerini ise Kanun’un 6. maddesi ve Kurul’un 31.01.2018 tarihli ve 2018/10 sayılı “Özel Nitelikli Kişisel Verilerin İşlenmesinde Veri Sorumlularınca Alınması Gereken Yeterli Önlemler” kararı uyarınca ve yeterli güvenlik önlemlerini alarak işliyoruz. Bu kapsamda yukarıda sayılan teknik ve idari tedbirlere ek olarak;

√ Özel Nitelikli Kişisel Verilerin işlenmesi süreçlerinde yer alan çalışanlara yönelik;

  1. Eğitimler verilmektedir.
  2. İş sözleşmelerine gizlilik hükmü eklenmiştir, ayrıca gizlilik taahhüdü alınmaktadır.
  3. Verilere erişim yetkisine sahip kullanıcıların, yetki kapsamları ve süreleri tanımlıdır.
  4. Periyodik olarak yetki kontrollerinin gerçekleştirilmektir.
  5. Görev değişikliği olan ya da işten ayrılan çalışanların bu alandaki yetkileri derhal kaldırılmaktadır.

√ Özel Nitelikli Kişisel Verilerin işlendiği, muhafaza edildiği ve/veya erişildiği elektronik ortamlarda;

  1. Veriler kriptografik yöntemler kullanılarak muhafaza edilmekte ve kriptografik anahtarlar güvenli ve farklı ortamlarda tutulmaktadır.
  2. Veriler üzerinde gerçekleştirilen tüm hareketler ve işlem kayıtları güvenli olarak loglanmaktadır.
  3. Verilerin bulunduğu ortamlara ait güvenlik güncellemeleri sürekli takip edilmekte, gerekli güvenlik testleri düzenli olarak yapılmakta, test sonuçlarının kayıt altına alınmaktadır.
  4. Verilere erişilen yazılımların güvenlik testleri düzenli olarak yapılmakta ve kayıt altına alınmaktadır.
  5. Verilere uzaktan erişim halinde, kademeli kimlik doğrulama sisteminin sağlanmaktadır.

√ Özel nitelikli kişisel verilerin işlendiği, muhafaza edildiği ve/veya erişildiği fiziksel ortamlarda;

  1. Elektrik kaçağı, yangın, su baskını, hırsızlık vb. durumlara tedbirler alınmaktadır.
  2. Yetkisiz giriş yapılmamaktadır. Kilitli çekmece ve dolaplarda muhafaza edilmektedir.

√ Özel nitelikli kişisel verilerin aktarımında:

  1. Verilerin e-posta yoluyla aktarılması gerektiğinde, şifreli olarak kurumsal e-posta adresiyle aktarılacaktır.
  2. Taşınabilir Bellek, CD, DVD gibi ortamlar yoluyla aktarılması gerekiyorsa kriptografik yöntemlerle şifrelenerek ve anahtar farklı ortamda tutularak, aktarılacaktır.
  3. Farklı fiziksel ortamlardaki sunucular arasında aktarma gerçekleştiriliyorsa, sunucular arasında VPN kurularak veri aktarımı gerçekleştirilecektir.
  4. Özel Nitelikli Kişisel Verilerin kağıt ortamı yoluyla aktarımı gerektiğinde evrakın “yüksek gizlilik” derecesi ile gönderilmesi sağlanacaktır.

Yukarıda “Teknik Tedbirler” başlığında açıkladığımız üzere Şirketimiz ISO 27001 Bilgi Güvenliği Yönetim Sistemi sertifikasına sahiptir. Anılan Bilgi Güvenliği Sistemi ile teknik kurallara ilaveten, idari kurallar ve süreçler de yönergelerle tespit ve tayin edilmiştir.

Tüm bunlarla birlikte Şirketimize veri giriş kapıları, verinin içerideki akışı, verinin üçüncü kişilere aktarıldığı noktalar, verinin saklama ve kayıt ortamları azami ölçüde tespit edilmekte, buralara aydınlatma bildirimleri, gereken hallerde açık rıza formları, veri güvenliği ve gizliliği taahhütleri yerleştirilmektedir. Alınan tüm tedbirler periyodik olarak incelenmekte ve gerektiği zaman güncellenmektedir.

 

  1. KİŞİSEL VERİLERİN AKTARILMASI

Şirketimiz, topladığı kişisel verileri, Kanun’un 8. (yurt içi) ve 9. (yurt dışı) maddeleri uyarınca, Kurul tarafından alınan kararlara ve ilan edilen ikincil düzenlemelere uygun olarak üçüncü kişilere aktarabilecektir.

Şirketimiz, Kişisel Verileri, gereken hallerde ve işleme amacı ile bağlantılı olarak, yurt içinde bulunan;

 

    1. Mahkemeler ve icra daireleri, vergi daireleri, noterler, Sosyal Güvenlik Kurumu Müdürlükleri, Bölge Çalışma Müdürlükleri, İş-Kur, Emniyet Müdürlükleri;
    2. Ticaret Bakanlığı, Ekonomi ve Hazine Bakanlığı, Tarım ve Orman Bakanlığı bünyesinde başta Gıda ve Kontrol Müdürlüğü olmak üzere ilgili bakanlıklar ve müdürlükler;
    3. Gümrükler;
    4. Denetim, gümrük, hukuk, bordro-muhasebe, insan kaynakları, işe alım, eğitim danışmanlığı gibi hizmet tedariki firmaları;
    5. Hastaneler, sağlık kuruluşları, bankalar, sigorta ve emeklilik şirketleri;
    6. Mesleki dernekler;
    7. Personel taşımacılığı hizmeti sunan firmalar, personel devam kontrol kayıt sistemi hizmet sunucuları;
    8. Pazarlama ve reklam ajansları, dijital pazarlama ve web-sitesi tasarım ajansları;
    9. e-finans şirketleri, telekomünikasyon şirketleri, arşiv, depolama, bilgi işlem ve veri tabanı sunucuları, hizmet aracıları;
    10. Organizasyon şirketleri, seyahat acenteleri, vize danışmanları, konaklama tesisleri gibi hizmetlerin tedarikçiliğini yapan firmalar ile paylaşabilecektir.

 

Şirketimiz Kişisel Verileri üçüncü kişilere aktarması gerektiğinde, gerekli teknik ve idari tedbirleri ve sözleşmelerinde veya bu amaçla hazırlanmış belgelerle karşı taraftan gizlilik ve uyumlu işleme taahhütlerini alacaktır.

 

Şirketimiz, yurtdışına veri aktarımında bulunması gerektiğinde Kanun’un 9. maddesi sınırları içinde hareket eder. Bu bağlamda, verinin aktarılacağı ülke güvenli ülkeler arasında sayılmamış ise, ya ilgili kişinin açık rızasına başvuracak ya da ilgili yabancı ülkedeki veri sorumlularının yeterli bir korumayı yazılı olarak taahhüt ettiği aktarım taahhütnamesi imzalayarak, Kurul’un iznine başvuracaktır.

  1. KİŞİSEL VERİLERİN İMHA EDİLMESİ

 

Kişisel Verilerin işlenme şartlarının tamamının ortadan kalkması halinde Şirketimiz, Kişisel Verileri kendiliğinden veya İlgili Kişinin talebi üzerine imha eder. Şirketimiz, bu bağlamda, kişisel verilerin silinmesi, yok edilmesi veya anonim hale getirilmesini gerektiren durumlar karşısında Kanun’un 7. Maddesi ve Kişisel Verilerin Silinmesi, Yok Edilmesi ve Anonim Hale Getirilmesi Hakkında Yönetmelik doğrultusunda hareket etmektedir.

Kişisel Verilerin işleme amacına göre belirlenen saklama süreleri ile imha yöntemlerimiz, Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca hazırlanan Kişisel Veri Saklama ve İmha Politikamızda ve Ekinde detaylı olarak düzenlenmiştir.

İlgili Kişiler Şirketimize yöneltecekleri talep ile kendilerine ait Kişisel Verilerin imha edilmesini talep edebilecektir. Söz konusu talebin Şirketimize ulaşması üzerine, Şirketimiz:

  • Kişisel Verileri işleme şartlarının tamamı ortadan kalkmışsa, talebe konu kişisel verileri silmekte, yok etmekte veya anonim hale getirmektedir. Bu surette İlgili Kişinin talebi en geç otuz (30) gün içinde sonuçlandırılacaktır.
  • Kişisel Verileri işleme şartlarının tamamı ortadan kalkmamışsa, Şirketimize yöneltilen talep, söz konusu durum hakkında gerekçeli bilgilendirme yapılarak, Kanun’un 13. maddesinin üçüncü fıkrası uyarınca reddedilebilir. Böyle bir durumda ret cevabımız İlgili Kişiye en geç otuz (30) gün içinde yazılı olarak ya da elektronik ortamda bildirilecektir.
  1. İLGİLİ KİŞİNİN HAKLARI VE BU HAKLARIN KULLANILMASI

İlgili Kişiler, Kanun’un 11. Maddesi uyarınca aşağıdaki haklara sahiptirler:

  • Kişisel verilerinin işlenip işlenmediğini öğrenme,
  • İşlenmişse buna ilişkin bilgi talep etme,
  • İşlenme amacını ve amacına uygun kullanılıp kullanılmadığını öğrenme,
  • Yurt içinde veya yurtdışında aktarıldığı üçüncü kişileri bilme,
  • Eksik/yanlış işlenmişse düzeltilmesini isteme,
  • Gereken şartlar çerçevesinde silinmesini, yok edilmesini isteme,
  • Yukarıda belirtilen düzeltme, silinme ve yok edilmeye ilişkin hakları uyarınca yapılan işlemlerin, kişisel verilerinin aktarıldığı üçüncü kişilere bildirilmesini isteme,
  • İşlenen kişisel verilerinizin münhasıran otomatik yöntemlerle analiz edilmesi suretiyle aleyhine bir sonucun ortaya çıkmasına itiraz etme,
  • Kanuna aykırı olarak işlenmesi sebebiyle zarara uğraması hâlinde zararın giderilmesini talep etme.

İlgili Kişiler, Kişisel Verileri ile ilgili taleplerini;

  • Islak imzalı olarak ve geçerli bir kimlik belgesinin fotokopisi ile birlikte, Atatürk Mahallesi Adnan Menderes Caddesi No: 8-13 34513 Esenyurt, İstanbul adresine göndererek,
  • Geçerli bir kimlik belgesi ile birlikte bizzat başvurarak,
  • Kayıtlı elektronik posta (KEP) adresi ve güvenli elektronik imza kullanmak suretiyle sametkalip@hs01.kep.tr KEP adresimize göndererek,
  • İlgili Kişi tarafından tarafımıza daha önce bildirilen ve sistemimizde kayıtlı bulunan elektronik posta adresinden kvkk@samet.com.tr adresimize e-posta ile göndererek, iletebilirler.

İlgili Kişilerin yapacakları başvurularında;

  • Ad, soyadı ve başvuru yazılı ise başvuru sahibinin imzası,
  • Başvuran Türkiye Cumhuriyeti vatandaşı ise T.C. kimlik numarası, yabancı uyruklu ise uyruk bilgileri ve pasaport numarası veya varsa yabancı kimlik numarası,
  • Tebligata esas yerleşim yeri veya iş yeri adresi,
  • Varsa bildirime esas elektronik posta adresi, telefon ve/veya faks numarası ve
  • Başvuruya konu talepler açıkça yer almalıdır.

Konuya ilişkin bilgi ve belgeler başvuruya eklenmelidir. Yapılacak başvurularda sadece İlgili Kişi başvuran hakkındaki talepler cevaplanacak olup, başvurucunun geçerli vekaleti olmadıkça eşi ve yakınları dahil üçüncü kişiler adına yapılan bir başvuru kabul edilmeyecektir. Şirketimiz, başvuruda bulunan kişinin İlgili Kişi olup olmadığını tespit etmek amacıyla başvurucudan bilgi ve belge talep etme ve yapılan başvuruda yer alan talepleri ve bilgileri açıklığa kavuşturmak amacıyla, İlgili Kişiye başvurusu ile ilgili soru yöneltme haklarına sahiptir.

  1. SÜRDÜRÜLEBİLİRLİK

Şirketimiz, Kanun ve ilgili mevzuatın öngördüğü düzenlemelere uyumluluğun denetlenmesinden, işbu Politika ve ilişkili diğer politikaların yönetilmesinden ve gerekli hallerde güncellenmesinden, kişisel verilerin korunması hakkında sürdürülebilirliğin sağlanmasından, Şirket yönetimi tarafından alınan kararların yerine getirilmesinden ve konu hakkındaki diğer regülasyon ve Şirket içi denetimlerin yapılmasından sorumlu olmak üzere, şirket içi “Kişisel Verilerin Korunması Dahili Kurulu”nu kurmuştur ve İrtibat Kişisini atamıştır.

İşbu Politika, Şirket web sitesinde (www.samet.com.tr), yayımlanarak kamuoyuna sunulmuştur. Başta 6698 sayılı Kanun olmak üzere yürürlükteki Mevzuat ile bu Politikada yer verilen düzenlemelerin çelişmesi halinde Mevzuat hükümleri uygulanır. Şirket, yasal düzenlemelere ve Kurul kararlarına paralel olarak Politikada tek taraflı olarak değişiklik yapma hakkını saklı tutar.

Saygılarımızla,

Veri Sorumlusu

SAMET KALIP VE MADENİ EŞYA SANAYİ VE TİCARET A.Ş.

 

Mersis No                   : 0742003025700011

İletişim Bilgileri       

Adres                          : Atatürk Mahallesi Adnan Menderes Caddesi No: 8-13 34513 Esenyurt - İstanbul

Telefon                       : +90 212 886 75 23

Kep Adresi                 : sametkalip@hs01.kep.tr

Email                          : kvkk@samet.com.tr

MENÜYÜ KAPAT
Yükleniyor..